今日导读
攻击者入侵某个系统,总是由某个主要目的所驱使的。例如炫耀技术,得到企业机密数据,破坏企业正常的业务流程等等,有时也有可能在入侵后,攻击者的攻击行为,由某种目的变成了另一种目的,例如,本来是炫耀技术,但在进入系统后,发现了一些重要的机密数据,由于利益的驱使,诱使攻击者最终窃取了这些机密数据。而攻击者入侵系统的目的不同,使用的攻击方法也会不同,所造成的影响范围和损失也就不会相同。因此,在处理不同的系统入侵事件时,就应当对症下药,不同的系统入侵类型,应当以不同的处理方法来解决,这样,才有可能做到有的放矢,达到最佳的处理效果。
根据系统入侵的不同目的,可以将它们分为下列3种主要类型:
1、 以炫耀技术为目的的系统入侵行为。
2、 以得到或破坏系统中机密数据为目的系统入侵行为。
3、 以破坏系统或业务正常运行为目的的系统入侵行为。
当然,在开始恢复被入侵系统之前,要确保已按本系列前面两个部分所描述的方法做好了必要的防范和准备措施。这些防范和准备措施包括:
1、 开启了系统审核功能。
2、 系统、防火墙及IDS/IPS产生的日志文件已经另外保存。
3、 系统和系统中的重要应用程序及数据已经存在完全备份或相应的增量备份。
4、 已经准备好了弱点检测工具(如X-Scan或Nessus),文件完整性检测工具(如Rootkit Revealer),系统进程查看(如IceSword或ProceXP)和网络连接查看工具(如Fport)等必要的第三方软件,并且保证这些软件随时可以使用。
5、 已经发现了系统入侵事件,并且已经及时识别了系统入侵事件的真假,以及按入侵的严重程度进行了分类。
鉴于目前我国大多数中小企业和普通用户的计算机使用的都是Windows XP操作系统,在本文中,如果没有特别的说明,所说的系统都是指Windows Xp操作系统。
一、以炫耀技术目的的系统入侵恢复
有一部分攻击者入侵系统的目的,只是为了向同行或其他人炫耀其高超的网络技术,或者是为了实验某个系统漏洞而进行的系统入侵活动。对于这类系统入侵事件,攻击者一般会在被入侵的系统中留下一些证据来证明他已经成功入侵了这个系统,有时还会在互联网上的某个论坛中公布他的入侵成果,例如攻击者入侵的是一台WEB服务器,他们就会通过更改此WEB站点的首页信息来说明自己已经入侵了这个系统,或者会通过安装后门的方式,使被入侵的系统成他的肉鸡,然后公然出售或在某些论坛上公布,以宣告自己已经入侵了某系统。也就是说,我们可以将这种类型的系统入侵再细分为以控制系统为目的的系统入侵和修改服务内容为目的的系统入侵。
对于以修改服务内容为目的的系统入侵活动,可以不需要停机就可改完成系统恢复工作,我们应当按下列的方式来处理:
1、 建立被入侵系统当前完整系统快照,或只保存被修改部分的快照,以便事后分析和留作证据。
2、 立即通过备份恢复被修改的网页。
3、 在Windows系统下,通过网络监控软件或“netstat –an”命令来查看系统目前的网络连接情况,如果发现不正常的网络连接,应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件,来检查系统攻击者在系统中还做了什么样的操作,以便做相应的恢复。
4、 通过分析系统日志文件,或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的,那么,就应当寻找相应的系统或应用程序漏洞补丁来修补它,如果目前还没有这些漏洞的相关补丁,我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式,例如社会工程方式入侵系统的,而检查系统中不存在新的漏洞,那么就可以不必做这一个步骤,而必需对社会工程攻击实施的对象进行了解和培训。
5、 修复系统或应用程序漏洞后,还应当添加相应的防火墙规则来防止此类事件的再次发生,如果安装有IDS/IPS和杀毒软件,还应当升级它们的特征库。
6、 最后,使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测,在检测之前要确保其检测特征库是最新的。
所有工作完成后,还应当在后续的一段时间内,安排专人对此系统进行实时监控,以确信系统已经不会再次被此类入侵事件攻击。
如果攻击者攻击系统是为了控制系统成为肉鸡,那么,他们为了能够长期控制系统,就会在系统中安装相应的后门程序。同时,为了防止被系统用户或管理员发现,攻击者就会千方百计地隐藏他在系统中的操作痕迹,以及隐藏他所安装的后门。因而,我们只能通过查看系统进程、网络连接状况和端口使用情况来了解系统是否已经被攻击者控制,如果确定系统已经成为了攻击者的肉鸡,那么就应当按下列方式来进行入侵恢复:
1、 立即分析系统被入侵的具体时间,目前造成的影响范围和严重程度,然后将被入侵系统建立一个快照,保存当前受损状况,以
